ESET au Gartner Security & Risk Management: annonce d'une nouvelle version crypto-ransomware TorrentLocker

Communication PR Corporate: 

 

ESET découvre une nouvelle version du crypto-ransomware TorrentLocker

 

Aujourd'hui et demain aura lieu le sommet « Gartner Security & Risk Management » à Londres. ESET dévoilera ses dernières technologies dédiées aux entreprises, répondra aux menaces informatiques face à l’augmentation rapide des ransomwares et discutera des questions politiques liées à l’industrie (en particulier les règles de confidentialité et de chiffrement des données au sein de l’UE).

L’un des sujets brûlants qui sera mis en évidence lors du sommet Gartner est la croissance rapide des crypto-ransomwares, qu’ESET abordera au moyen de deux systèmes de détection et de recherches approfondies. « L’une des nuisances principales de nos jours est le ransomware. De nombreux utilisateurs ne se protègent pas correctement et ne prêtent pas suffisamment attention aux risques existants en ligne », affirme Juraj Malcho, Chief Research Officer chez ESET et qui sera présent au sommet Gartner.

L’autre point fort abordé concernera le RGPD. « La protection des données est un élément clé de la règlementation européenne qui rend obligatoire pour les entreprises de protéger correctement les données personnelles. Les produits et la technologie ESET sont bien équipés pour traiter des aspects essentiels de la règlementation : des mesures techniques particulières assurent la sécurité, l’intégrité et la confidentialité des données personnelles grâce à nos produits de chiffrement, d’authentification et de sécurité des terminaux », explique Benoît Grunemwald, Directeur des Opérations chez ESET France.

 

TorrentLocker, le crypto-ransomware ciblant des pays spécifiques, a reçu des améliorations le rendant plus difficile à traquer et à analyser. Il fournit également des mesures supplémentaires pour éviter d’attaquer les utilisateurs venant des pays sélectionnés.

Analysé par ESET en 2014, le crypto-ransomware TorrentLocker est toujours actif et, grâce à la façon dont il choisit ses victimes potentielles via des spams ciblés, n’attire pas l’attention que l’on prête généralement aux crypto-ransomwares. Cependant, les chercheurs ESET ont continué de garder un œil sur ce malware.

« Le gang derrière TorrentLocker semble toujours être de la partie. Les cybercriminels ont amélioré leurs tactiques et ont apporté progressivement des innovations au ransomware tout en veillant à rester sous les radars », explique Marc-Etienne Léveillé, ESET Malware Researcher.

TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint (prétendant un projet de loi ou un code suivi). Si le document infecté est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute. Il débute alors une communication avec le serveur C&C et chiffre les fichiers de la victime.

Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement, de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale.

Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés.

En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs.

L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.

« Le lien contenu dans le message de l'e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google », explique Marc-Etienne Léveillé.      

En analysant le malware et ses campagnes, les chercheurs ESET ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : La France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande.

Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires